Upptäck Predator-spionprogram på telefonen
Cytrox, ett framstående makedonskt cybersäkerhetsföretag, blev ökänt 2021 för sin utveckling och spridning av spionprogrammet Predator riktat mot iPhones. Detta sofistikerade spionprogram lyckades infiltrera iOS 14.6, den senaste operativsystemversionen vid den tiden, genom att använda enkelklickslänkar som distribuerades via den populära meddelandeplattformen WhatsApp. Predator kvarstår efter omstart med hjälp av iOS automatiseringsfunktion.
Spionprogrammet Predator antogs ha antagligen använts av myndigheter, inklusive myndigheter i Armenien, Egypten, Grekland, Indonesien, Madagaskar, Oman, Saudiarabien och Serbien. Dess mål spänner över ett spektrum från politisk opposition och journalister till programledare för inflytelserika nyhetsprogram, vilket tyder på en omfattande övervakningsoperation. Det är dock värt att notera att företaget för närvarande verkar under olika namn i hela Europeiska unionen.
När Predator-laddaren är aktiverad initierar den nedladdningen av Python-skript till din iPhone för att etablera kontroll över enheten. Därefter, efter att Predator-konfigurationen har laddats, fortsätter iOS-laddaren att rensa enhetens kraschloggar, vilket effektivt eliminerar alla relaterade filer. Därefter hämtar den en konfigurationsfil och efterföljande steg av spionprogrammet från den angivna servern.
På iOS utför Predator-laddaren en funktion som ansvarar för att ladda ner en automatiserad iOS-genväg från spionprogramservern, vilket säkerställer dess beständighet. Denna automatisering är utformad för att aktiveras när specifika appar startas och omfattar en rad inbyggda Apple-applikationer.
Totalt övervakas mer än 44 appar noggrant, inklusive App Store, Kamera, Mail, Kartor och Safari, tillsammans med populära tredjepartsappar som Twitter, Instagram, Facebook, LinkedIn, Skype, Snapchat, Viber, TikTok, Line, OpenVPN, WhatsApp, Signal och Telegram.
Predator-genvägen fungerar helt i bakgrunden och förblir osynlig för användaren. Denna smygfunktion uppnås när Predator ändrar en inställning för att inaktivera aviseringar som utlöses av automatisering. Cytrox och dess Predator-spionprogram är relativt okända, till skillnad från Pegasus .
Hur man upptäcker Predator-spionprogram på iOS
För att fastställa om spionprogrammet Predator har installerats på din iPhone är det nödvändigt att först skapa en säkerhetskopia av din enhet. Därefter blir det absolut nödvändigt att använda ett verktyg som MVT för att fastställa förekomsten av Cytrox-spionprogram på din iDevice.
MVT använder olika indikatorer som skadlig kod, relationer, paketerade filer, domännamn och Apple-ID:n som är associerade med att kompromettera din enhet, samt övervakar pågående processer för att effektivt upptäcka installationen av Predator. MVT använder cytrox.stix2- indikatorn för att identifiera och upptäcka Predator-spionprogram från din iPhone-säkerhetskopia.
Obs: Krypterade iOS-säkerhetskopior innehåller ytterligare intressanta poster som inte är tillgängliga i deras okrypterade motsvarigheter. Dessa omfattar viktig data som Safari-historik, Safari-status och annan relevant information, vilket förbättrar den forensiska analysen.
Följ stegen för att upptäcka Predator-spionprogram på iOS:
Steg 1. Installera Mobile Verification Toolkit på datorn.
Steg 2. Anslut din iPhone till datorn via en USB-kabel.
Steg 3. Skapa en iPhone-säkerhetskopia (krypterad) med iTunes eller kommandoradsverktyg.
Steg 4. Öppna ditt föredragna terminalprogram.
Steg 5. Kör följande kommando för att dekryptera iOS-säkerhetskopian .
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directorySteg 6. Ange lösenordet för kryptering av iOS-säkerhetskopian.
Steg 7. Uppdatera MVT-indikatorer till den senaste versionen.
mvt-ios download-iocsSteg 8. Skanna iOS-säkerhetskopian med MVT för att avgöra om Predator-spionprogrammet har installerats.
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directorySteg 9. Visa kommandoradstolken för status för upptäckt av Predator-spionprogram.
Steg 10. För vidare analys kan du navigera igenom $mvt_output_directory-filerna.
